Imagine que a sua empresa está contratando desenvolvedores de software, engenheiros de dados e de cibersegurança, encontra um candidato incrível e dali a um ano descobre que ele simplesmente não existe. Foi um espião norte-coreano que usou IA para criar uma nova identidade e se infiltrar na companhia e roubar dados. Não é roteiro de série, nem invenção: é uma estratégia do regime de Kim Jong-un para financiar suas iniciativas.
A nova frente de guerra digital se expandiu rapidamente após a pandemia para explorar brechas no modelo de trabalho remoto e no uso indiscriminado de IA Generativa. Como mostram reportagens do Wall Street Journal e da Wired, cidadãos norte-coreanos estão se infiltrando em empresas de tecnologia no Ocidente usando identidades falsas, inteligência artificial e uma rede internacional de facilitadores.
O novo rosto do cibercrime: salários, laptops e deepfakes
A estratégia é engenhosa: um cidadão norte-coreano assume uma identidade falsa (frequentemente de um norte-americano), usa IA para criar uma presença digital convincente – incluindo fotos geradas por IA e currículos elaborados com ajuda de ferramentas como ChatGPT – e se candidata a vagas de TI em empresas ocidentais.
Após ser contratado, ele solicita que o computador corporativo seja enviado a um endereço diferente do registrado. É aí que entram os “laptop farms”: casas nos EUA operadas por cúmplices locais que recebem os equipamentos, instalam softwares de acesso remoto (como Anydesk ou IP-KVM), e permitem que os norte-coreanos se conectem a partir de qualquer lugar do mundo – como se estivessem nos EUA.
A tecnologia que ajuda… e que engana
Os golpistas têm um arsenal tecnológico sofisticado:
- Fotos de perfil geradas por IA, criadas a partir de imagens de bancos de dados públicos;
- Deepfakes para entrevistas em vídeo, com sincronização labial e gestos que imitam humanos reais;
- Ferramentas de GenAI para responder entrevistas técnicas em tempo real e passar por testes de programação;
- Cartões de identidade projetados em chroma key verde, com reflexo simulado e movimentos realistas para parecerem legítimos em videochamadas.
O estrago é real. Segundo o Google Threat Intelligence Group (GTIG) e a Mandiant, centenas de empresas da Fortune 500 já foram infiltradas por trabalhadores falsos norte-coreanos – alguns deles com acesso privilegiado a dados sensíveis.
Do salário à extorsão: como o esquema evoluiu
Inicialmente, o objetivo era apenas arrecadar divisas para o regime. Um time de 1.000 trabalhadores recebendo salários de seis dígitos pode gerar mais de US$ 100 milhões anuais para o governo de Pyongyang, segundo analistas da Mandiant.
Mas o modelo evoluiu. Agora, além dos salários, os agentes usam seu acesso para:
- Roubar propriedade intelectual;
- Instalar malwares silenciosos;
- Coletar dados internos para vender ou extorquir empresas;
- Pedir resgates para não publicar dados após serem demitidos ou descobertos.
A mudança de postura foi observada especialmente após 2023, quando empresas começaram a descobrir e demitir esses agentes com mais frequência.
Uma rede global e bem treinada
A operação é coordenada por departamentos de Inteligência da Coreia do Norte, como o Reconnaissance General Bureau. Os trabalhadores recebem formação técnica e em línguas estrangeiras em instituições como a Universidade de Tecnologia Kim Chaek – considerada o “MIT norte-coreano”.
Os mais talentosos são enviados para bases na China, Rússia e Paquistão, de onde operam com rotinas rígidas: até 14 horas de trabalho diárias, sob vigilância constante e com familiares como “garantia de lealdade”. Um único grupo pode gerar até US$ 3 milhões por ano, segundo dados da Inteligência sul-coreana.
E as empresas? É claro que nenhuma companhia que se preze quer admitir que contratou um funcionário falso e ainda teve de pagar resgate para não ter dados vazados. Mas há fatos e indicações: a Cinder detectou que 80% das candidaturas de um determinado site vinham de perfis falsos com sinais de ligação à Coreia do Norte.
Como evitar que sua empresa seja a próxima?
Em um post no blog do Google Cloud, os especialistas Jamie Collier e Michael Barnhart explicaram o esquema e deram recomendações para que as empresas possam se proteger.
Durante a contratação
- Exigir entrevistas por vídeo com verificações físicas de documentos;
- Evitar aceitar endereços de envio de equipamentos diferentes dos declarados;
- Confirmar se o laptop corporativo foi geolocalizado no país correto.
Na operação diária
- Bloquear uso de softwares de administração remota não autorizados;
- Monitorar uso de VPNs, ferramentas de “mouse jiggling”, e comportamentos fora do padrão;
- Solicitar número de série do equipamento durante o onboarding.
Na cultura e na governança
- Criar um programa robusto de risco interno, com políticas claras e envolvimento do RH, jurídico e segurança;
- Realizar testes de penetração focados em ameaças internas;
- Investir em análise comportamental e monitoramento contínuo de usuários, principalmente novos contratados.
A recomendação dos especialistas é clara: se sua empresa não detectou esse problema, talvez não esteja olhando direito.